自分はPC-VAN以来、30年以上のBIGLOBEユーザーだが、このたび2026年6月、BIGLOBEの親会社KDDIで不正アクセスが発生、アカウント漏洩が起こった可能性が公表された。しかも実際、その前後で筆者自身のメールアカウントが不正利用され、spamメール大量発信に利用された様子がある。
本記事は前記事「[個人分析報告1] BIGLOBEメール不正利用被害 ~KDDI漏洩の影響と対応~」に続き、自分の受信メールの詳細な分析、関係する可能性のあるspamメールの紹介(メールヘッダ含む)などを行う。本記事の内容は当初、上記の記事の7章に入れていたものを独立記事に分離したものである。
本記事は作成中です、適宜追記されています
[推敲度 3(作成中)/10]

今回漏洩したのは「BIGLOBEアカウント」「BIGLOBEメール」「それらのパスワード」であり、BIGLOBEアカウントが悪用された場合には被害はメールに留まらない。
すなわちBIGLOBEは昔からホームページ作成サービスを提供しているし、ISP(プロバイダー)接続サービスも提供している。BIGLOBEアカウントを奪取された以上、それらのサービスも改ざんや奪取がされてもおかしくないわけだが、一連の公表でBIGLOBEは特にメールの漏洩を強調しているように感じる。これは事象が判明した段階でメールアカウントの不正利用を多く検知していたからではなかろうか。
そして実際、私自身のメールアカウントもspamの大量発信に利用されたことはほぼ間違いない。そのような中ではまずは自分のBIGLOBEメールアドレスの受信情報を分析することが被害状況の把握、さらには原因究明のために有効だと思われる。
【目次】
1■今回の漏洩により発生する可能性のある2つのspamメールの解説
2■該当メールアカウントの使用状況
3■不正利用前後のメール受信数状況(7/5加筆)
4■BIGLOBEアカウント不正利用で発信されたと思われるspamメール集計(7/6追加)
5■漏洩したBIGLOBEアカウント不正利用発信spamメール紹介(ヘッダ根拠付)(7/6追加)
【本文】
1■今回の漏洩により発生する可能性のある2つのspamメールの解説
今回のBIGLOBEアカウントの漏洩で発生するspamメール発生については2つの可能性がある。
A・今回の漏洩したアカウント(自分とは限らない)を利用して発信したspamが届く。
B・今回の漏洩したメールアドレスに対してspamが届く。
前記事「[個人分析報告1] BIGLOBEメール不正利用被害 ~KDDI漏洩の影響と対応~」で書いた被害のレベル「想定される被害レベル」でのレベル2により発生するメールがA、レベル3により発生するメールがBである。さらにレベル2の被害に遭った場合はそこで述べたようにエラーメールが多く届くようになるため「spam」メールとは言うべきではないが
C・不正利用されたアカウントには不達のエラーメールが届く。
が届くようになる。
Aについては少々ややこしい。すなわち、ここで集計したいのは「漏洩した自分のアカウント」からのspamとは限らず、また届く先も漏洩したBIGLOBEメールの場合も、それ以外のメールアドレスの場合もあり得る。表にすると以下のようになる。
| 宛先:自分のBIGLOBEアドレス | 宛先:自分のBIGLOBE以外のメールアドレス | |
| 発信元:自分のBIGLOBEメールが不正利用されたもの | A(I) | A(Ⅱ) |
| 発信元:他人のBIGLOBEメールが不正利用されたもの | A(Ⅲ) | A(Ⅳ) |
| 発信元:それ以外のアドレス | (Ⅴ) | (Ⅵ) |
ここで集計しようとしているのは(I)~(Ⅳ)である。
Bについては上の表で言えば(Ⅰ)(Ⅲ)(Ⅴ)のメールになるが、自分のようにすでにBIGLOBEアドレスにspamを受け取るのが日常の場合、従来の延長のspamであるのか、あるいは今回の影響で届くようになったかを見分けるのは困難が予想される。しかし以下では見分ける可能性を探るために、漏洩した自分のBIGLOBEメールへのspam受信数の調査をしてみる。
2■該当メールアカウントの使用状況
漏洩した自分のBIGLOBEメールへのspam受信数を報告する前に、このメールアドレスの使用状況を解説する。
該当メールアカウントは1997年に取得し、メインアドレスとして使用していたが、その後、2005年頃より独自ドメインでメールアドレスを使うようになったので、実際の使用はしなくなっていた。すなわち知人・友人とのやり取りでは使わなくなり、各所への登録も独自ドメインのアドレスに変更している。そのBIGLOBEメールアドレスは一時的にWeb上で公開していたこともあり、そのためか、かなりのspamメールが届くようになっていたが、自分は冒頭に書いたようにspam問題には関心があったため、定点観測の意味から受信を続けていたアドレスである。当初の頃からの受信メールはspamを含めてすべて保存している。
そのようなことから、そのメールアドレスには近年
・spam(一方的広告メール、詐欺メール、フィッシングメール)
・BIGLOBEからの連絡メール
の2者しか原則届かなくなっている。
3■メール受信数とエラーメール受信状況
前項のようなメールの使用状況を前提に、前節で述べた
B・今回の漏洩したメールアドレスに対してspamが届く。
C・不正利用されたアカウントには不達のエラーメールが届く。
に関する調査のために、今回のBIGLOBEメールアドレスの受信状況を確認し、そこで発生した異常事態を推測してみた。

左の表に示したように、今回の不正アクセスが明らかになった前後で、届くspamメール(ほぼ詐欺メール、フィッシングメール)の受信数に大きな変化は起こっていない。自分としては漏洩したメールアドレスへspamメールを送る行為は大々的には始まっていないのではないかと考えている。
ただし、上記で紹介した他の被害ユーザと全くspam(フィッシングメール)を同時刻に受け取っていることが判明したこともあり、今後も状況を注視していく。
その一方でこの2週間の中でエラーメールの受信は6/22の8時間だけ、すなわちspammerに不正利用した期間にのみ集中しており、明らかにこの日に異常が起こったことを推察させる。ではそもそも、この期間以外にエラーメールは日頃、受け取っていたのだろうか。
今回、メールアカウントの不正利用に気がつくことになった、
postmaster@biglobe.ne.jpもしくはPostmaster@au.com
からのエラーメール(メール不達エラー)であるが、自分はどれくらいの頻度で受け取っていたものなのか。それを集計した結果が下である。

これを見ると分かるように、上記のようなエラーメールは少なくとも15年以上、届いていなかった。これは当たり前で、本章の最初で述べたように、そもそも自分のこのBIGLOBEアドレスは長らく使用しておらず、それはすなわちそのメールアカウントでメール送信をしていないということであり、そうであるなら「メールアドレスを他者に不正利用されない限り」メール不達エラーも受け取るわけがない。15年以上のメール受信(恐らく20万通以上)を全検索することでそれが確認できた。
そしてそれが確認できると同時に、今回起こったエラーメールがどんなに異常であったかということを示したわけでもあり、すなわちspam大量発信の不正利用は2026/6/22前後に初めて起こったものであるということだ。
さて、BIGLOBEメールアドレスへのspam受信数について先程は6月の日毎のデータを出したが、続いて昨年始めすなわち2025年1月以降の自分のspam受信数の集計を行った。
これを見るとこの1年半で自分のBIGLOBEメールアドレスへのspam受信数にはかなりの変動があったことが分かる(これは自分の想像以上だった)。アカウント漏洩があった6月はspam受信数が最低レベルまで少ない月であった。
この過去の傾向を考えると、仮に今後spam受信数が増えたとしてもその受信数を今回のBIGLOBEアカウント漏洩と単純に結びつけることには難しいだろう。
4■漏洩したBIGLOBEアカウントを利用して発信されたと思われるspamメール集計
前節「今回の漏洩により発生する可能性のある2つのspamメールの解説」で述べたように、今回の漏洩で発生するメールは
A・今回の漏洩したアカウント(自分とは限らない)を利用して発信したspamが届く。
B・今回の漏洩したメールアドレスに対してspamが届く。
C・不正利用されたアカウントには不達のエラーメールが届く。
であり、前節までにB、Cに関する分析を行った。本説ではAの分析を行う。
Aによるspamメールとは要はBIGLOBEアカウントから発信させられたメールである。
これを見つけるのはあたかも簡単そうなことだと思われるかもしれないが、実はそうでもない。インターネットメールシステムというのは当初、悪用されることをほとんど考慮されずに構築されたため、詐称やなりすましが相当できるようになっており、その後、さまざまな改修が行われたが、基本的には変わっていない(それが現在でも続くspamメール蔓延の主な要因になっている)。
たとえば多くの人が差出人の参考にするであろう「差出人アドレス(送信者アドレス)」は、BIGLOBEアカウントを使った発信でなくても、簡易に「BIGLOBEアドレス」を名乗ることが可能になっている。逆にBIGLOBEメールアドレスを差出人に名乗らなくてもBIGLOBEアカウントを不正利用して発信されたメールの可能性がある。
ではメール受信者としては全く調べられないかというと、調べる参考になるのが「メールヘッダー」である。メールヘッダは通常表示される「メール本文」とは別に、メールの受信経路などが記録されたもので、パソコンで受信したメールではメールソフトの機能によって見ることが出来るのが一般的である(スマートフォンでの受信では見れるようになっているとは限らず、またパソコンでも見れるかどうかはメールソフトに依存する)。
この「メールヘッダ」を解析することで、発信にBIGLOBEアカウント(BIGLOBE送信サーバ)が使われたかをかなりの確率で判定することが出来るのだ。
そのようなことを前提に、自分のspam受信を昨年以降すなわち2025年1月以降について分析した結果、BIGLOBEアカウントから発信されたと思われるspamメールは昨年2025年は7月までに9通、今年1月以降では3通見つかり、今年の分はいずれも6月に入ってであり、6/10、18、26に受信している。これらのメールはいずれも自分のBIGLOBEメールアドレスに届いたものであり、また不正利用されたと思われるBIGLOBEアカウントは自分のものではなかった。すなわち前述した以下の表によれば(Ⅲ)に該当するメールである。
| 宛先:自分のBIGLOBEアドレス | 宛先:自分のBIGLOBE以外のメールアドレス | |
| 発信元:自分のBIGLOBEメールが不正利用されたもの | A(I) | A(Ⅱ) |
| 発信元:他人のBIGLOBEメールが不正利用されたもの | A(Ⅲ) | A(Ⅳ) |
| 発信元:それ以外のアドレス | (Ⅴ) | (Ⅵ) |
5■漏洩したBIGLOBEアカウント不正利用発信spamメール紹介(ヘッダ根拠付)
以下、今回の漏洩によるBIGLOBEアカウントを不正利用されて送られたと思われる受信メールを紹介していく。
■メール1(2026/6/18 この月では2通目)
BIGLOBE漏洩に関係する可能性が極めて高いと思われるのが6/18の以下のメールである。

(以下の引用はメールヘッダー)
Return-Path: <恐らく漏洩被害アドレスの一つ1番目@kmd.biglobe.ne.jp>
Received: from imta1021.biglobe.ne.jp by imta1021.biglobe.ne.jp with ESMTP id <2026061720(伏せ).biglobe.ne.jp@biglobe.ne.jp> for <自分のBIGLOBEアドレス>; Thu, 18 Jun 2026 05:30:14 +0900
Received: from biglobe.ne.jp([222.227.84.33]) by imta1021.biglobe.ne.jp with ESMTP id <2026061720(伏せ).biglobe.ne.jp@biglobe.ne.jp> for <自分のBIGLOBEアドレス>; Thu, 18 Jun 2026 05:30:14 +0900
Authentication-Results: rcpt-imp.biglobe.ne.jp; dmarc=pass header.from=kym.biglobe.ne.jp; dkim=pass; spf=pass smtp.mailfrom=kmd.biglobe.ne.jp; arc=none smtp.remote-ip=222.227.84.33; sender-id=Pass (pra) header.From=kym.biglobe.ne.jp; bimi=none header.d=biglobe.ne.jp header.selector=default
Received: from mta-sp-e01.biglobe.ne.jp (222.227.84.33) by biglobe.ne.jp id (伏せ) for 自分のBIGLOBEアドレス; Thu, 18 Jun 2026 05:30:14 +0900
Received: from mta-snd-e07.biglobe.ne.jp by mta-sp-e01.biglobe.ne.jp with ESMTP id <(伏せ).biglobe.ne.jp@biglobe.ne.jp>; Thu, 18 Jun 2026 05:30:13 +0900
Received: from mail.biglobe.ne.jp by mta-snd-e07.biglobe.ne.jp with ESMTP id <20260617(伏せ).mail.biglobe.ne.jp@biglobe.ne.jp>; Thu, 18 Jun 2026 05:30:13 +0900
From: Amazon.co.jp <恐らく漏洩被害アドレスの一つ2番目@kym.biglobe.ne.jp>
To: <恐らくなりすましアドレス@**.commufa.jp>
Subject: 【Amazon.co.jp】お荷物の配送に問題が発生しました
Date: Thu, 18 Jun 2026 05:30:10 +0900
Message-ID: <(伏せ)@kmd.biglobe.ne.jp>
MIME-Version: 1.0
X-Mailer: Biglobe Mailer
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 7bit
X-Biglobe-Sender: 恐らく漏洩被害アドレスの一つ1番目@kmd.biglobe.ne.jp
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=kym.biglobe.ne.jp; s=default-1th84yt82rvi; t=1781728213; bh=(略); h=From:To:Subject:Date; (略)
X-Biglobe-spamcheck: 100.00%
上記のヘッダがBIGLOBEアカウントを利用して発信したと判断した理由は以下の通り。
●BIGLOBEアカウントから送信されたと判断できる根拠(送信側証拠のみ)
Return-Path: <…@kmd.biglobe.ne.jp>
SMTPエンベロープ上の送信者アカウントを示しており、送信元BIGLOBEアカウントを直接的に示す強い証拠。
X-Biglobe-Sender: …@kmd.biglobe.ne.jp
BIGLOBEメールシステムが付与する独自ヘッダで、送信に使用されたアカウント情報を明示する強い状況証拠。
ReceivedヘッダにおけるBIGLOBEメールサーバ経由の一貫性
mail.biglobe.ne.jp → mta-snd-* → mta-sp-* → imta* というBIGLOBE内部のメール配送経路が複数段で確認でき、外部中継ではなくBIGLOBEメール基盤上で処理されたことを示す。
送信処理サーバ(mta-snd / mta-sp)の記録一致
BIGLOBEの送信系・中継系サーバ名がReceivedヘッダに連続して出現しており、BIGLOBEのメール送信インフラを利用した送信であることを裏付ける。
送信元IPアドレスがBIGLOBEメールサーバ網と一致
例:222.227.84.33 などがBIGLOBEの送信サーバ(mta-sp等)として記録されており、外部ホストからの単純な偽装送信ではないことを示す。
SPF認証・DKIM認証の成功(Authentication-Results)
spf=pass および dkim=pass が記録されており、BIGLOBEドメインの正規送信経路を通過したことを示す強い補強証拠。
DKIM-Signature: d=kym.biglobe.ne.jp(補強証拠)
BIGLOBE管理ドメインで署名されており、送信ドメイン認証により改ざんされていない送信であることを示す。ただし「誰が送ったか」の単独証明ではない。
●証拠として除外(または採用しないもの)
X-Mailer(偽装可能のため証拠価値なし)
Message-IDのドメイン部分(生成情報であり送信者証明ではない)
Fromアドレス単体(簡単に詐称可能)
このメールについて、今回の漏洩に利用された可能性が高いと判断したのは「漏洩したメールアドレスにspamメールが届くようになった事例」で紹介した他の被害者(現段階では2例)でもこのspam受信が報告されているためである。
■メール2(2026/6/26 この月では3通目)

(以下の引用はメールヘッダー)
Return-Path: <恐らく漏洩被害アドレスの一つ1番目@ktd.biglobe.ne.jp>
Received: from imta1010.biglobe.ne.jp by imta1010.biglobe.ne.jp with ESMTP id <20260625(伏せ).imta1010.biglobe.ne.jp@biglobe.ne.jp> for <自分のBIGLOBEアドレス>; Fri, 26 Jun 2026 02:38:50 +0900
Received: from biglobe.ne.jp([27.86.113.18]) by imta1010.biglobe.ne.jp with ESMTP id <20260625(伏せ).biglobe.ne.jp@biglobe.ne.jp> for <自分のBIGLOBEアドレス>; Fri, 26 Jun 2026 02:38:50 +0900
Authentication-Results: rcpt-imp.biglobe.ne.jp; dmarc=pass header.from=muf.biglobe.ne.jp; dkim=pass; spf=pass smtp.mailfrom=ktd.biglobe.ne.jp; arc=none smtp.remote-ip=27.86.113.18; sender-id=Pass (pra) header.From=muf.biglobe.ne.jp; bimi=none header.d=biglobe.ne.jp header.selector=default
Received: from mta-snd-w02.biglobe.ne.jp (27.86.113.18) by biglobe.ne.jp id (伏せ) for 自分のBIGLOBEアドレス; Fri, 26 Jun 2026 02:38:50 +0900
Received: from mail.biglobe.ne.jp by mta-snd-w02.biglobe.ne.jp with ESMTP id <20260625(伏せ).mail.biglobe.ne.jp@biglobe.ne.jp>; Fri, 26 Jun 2026 02:38:50 +0900
From: Amazon.co.jp <恐らく漏洩被害アドレスの一つ2番目@muf.biglobe.ne.jp>
To: <恐らくなりすましアドレス@kpb.biglobe.ne.jp>
Subject: お荷物の配送状況に関するご連絡
Date: Fri, 26 Jun 2026 02:38:48 +0900
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
X-Biglobe-Sender: 恐らく漏洩被害アドレスの一つ1番目@ktd.biglobe.ne.jp
Message-Id: <20260625(伏せ).mail.biglobe.ne.jp@biglobe.ne.jp>
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=muf.biglobe.ne.jp; s=default-1th84yt82rvi; t=1782409130; bh=(略); h=From:To:Subject:Date; (略)
上記のヘッダがBIGLOBEアカウントを利用して発信したと判断した理由は以下の通り。
●BIGLOBEアカウントから送信されたと判断できる根拠(送信側証拠のみ)
Return-Path: <…@ktd.biglobe.ne.jp>
SMTPエンベロープ(MAIL FROM)で使用されたBIGLOBEメールアドレスを示しており、送信に利用されたBIGLOBEアカウントを直接示す強い証拠。
X-Biglobe-Sender: …@ktd.biglobe.ne.jp
BIGLOBEメールシステムが付与する独自ヘッダで、送信処理に使用されたBIGLOBEアカウントを示す強い状況証拠。
ReceivedヘッダにおけるBIGLOBEメールシステム内での送信経路の一貫性
mail.biglobe.ne.jp → mta-snd-w02.biglobe.ne.jp → biglobe.ne.jp → imta1010.biglobe.ne.jp というBIGLOBEメールシステム内の送信経路が連続して記録されており、外部SMTPサーバから直接送信されたものではなく、BIGLOBEメール基盤上で送信処理されたことを示す。
送信処理サーバ(mta-snd)の記録一致
BIGLOBEの送信処理サーバである mta-snd-w02.biglobe.ne.jp がReceivedヘッダに記録されており、BIGLOBEのメール送信インフラを利用して送信されたことを裏付ける。
Receivedヘッダに記録された送信処理サーバのIPアドレス
例:27.86.113.18 がReceivedヘッダに送信処理サーバとして記録されており、BIGLOBEメールシステム内の送信サーバから配送されたことを示す。
SPF認証・DKIM認証の成功(Authentication-Results)
spf=pass および dkim=pass が記録されており、BIGLOBEドメインの正規送信経路を通過したことを示す強い補強証拠。
DKIM-Signature: d=muf.biglobe.ne.jp(補強証拠)
BIGLOBE管理ドメインで署名されており、送信ドメイン認証により改ざんされていない送信であることを示す。ただし「誰が送ったか」の単独証明ではない。
●証拠として除外(または採用しないもの)
Message-Idのドメイン部分(生成情報であり送信者証明ではない)
Fromアドレス単体(簡単に詐称可能)
(つづく)
